现已上线!2025 年 Telegram 研究 — 年度关键洞察 
3 384
订阅者
+624 小时
+127 天
+5530 天
数据加载中...
标签云
进出提及
---
---
---
---
---
---
吸引订阅者
六月 '26
六月 '26
+22
在0个频道中
五月 '26
+75
在1个频道中
Get PRO
四月 '26
+77
在0个频道中
Get PRO
三月 '26
+105
在0个频道中
Get PRO
二月 '26
+93
在0个频道中
Get PRO
一月 '26
+80
在0个频道中
Get PRO
十二月 '25
+76
在0个频道中
Get PRO
十一月 '25
+66
在1个频道中
Get PRO
十月 '25
+69
在0个频道中
Get PRO
九月 '25
+81
在1个频道中
Get PRO
八月 '25
+112
在0个频道中
Get PRO
七月 '25
+66
在0个频道中
Get PRO
六月 '25
+58
在0个频道中
Get PRO
五月 '25
+126
在0个频道中
Get PRO
四月 '25
+74
在0个频道中
Get PRO
三月 '25
+43
在0个频道中
Get PRO
二月 '25
+57
在0个频道中
Get PRO
一月 '25
+75
在1个频道中
Get PRO
十二月 '24
+63
在0个频道中
Get PRO
十一月 '24
+60
在0个频道中
Get PRO
十月 '24
+77
在1个频道中
Get PRO
九月 '24
+99
在0个频道中
Get PRO
八月 '24
+78
在0个频道中
Get PRO
七月 '24
+147
在2个频道中
Get PRO
六月 '24
+96
在0个频道中
Get PRO
五月 '24
+184
在0个频道中
Get PRO
四月 '24
+165
在2个频道中
Get PRO
三月 '24
+148
在0个频道中
Get PRO
二月 '24
+99
在0个频道中
Get PRO
一月 '24
+94
在0个频道中
Get PRO
十二月 '23
+106
在0个频道中
Get PRO
十一月 '23
+60
在0个频道中
Get PRO
十月 '23
+90
在0个频道中
Get PRO
九月 '23
+51
在0个频道中
Get PRO
八月 '23
+67
在0个频道中
Get PRO
七月 '23
+113
在0个频道中
Get PRO
六月 '23
+840
在0个频道中
Get PRO
五月 '23
+18
在0个频道中
Get PRO
四月 '23
+46
在0个频道中
Get PRO
三月 '23
+115
在0个频道中
Get PRO
二月 '23
+36
在0个频道中
Get PRO
一月 '23
+12
在0个频道中
Get PRO
十二月 '22
+23
在0个频道中
Get PRO
十一月 '22
+27
在0个频道中
Get PRO
十月 '22
+31
在0个频道中
Get PRO
九月 '22
+55
在0个频道中
Get PRO
八月 '22
+8
在0个频道中
Get PRO
七月 '22
+11
在0个频道中
Get PRO
六月 '22
+8
在0个频道中
Get PRO
五月 '22
+6
在0个频道中
Get PRO
四月 '22
+238
在0个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 11 六月 | 0 | |||
| 10 六月 | +6 | |||
| 09 六月 | +2 | |||
| 08 六月 | +5 | |||
| 07 六月 | 0 | |||
| 06 六月 | +2 | |||
| 05 六月 | 0 | |||
| 04 六月 | +1 | |||
| 03 六月 | +2 | |||
| 02 六月 | +2 | |||
| 01 六月 | +2 |
频道帖子
Всем привет!
23 мая состоялся CTI meetup №5, который организовали Инсека и Технологии киберугроз.
🎥 Презентации и запись выступлений CTI meetup №5 можно посмотреть на странице митапа.
📸 Фотоотчет с митапа здесь.
Спасибо всем, кто был с нами на митапе.
Когда будет следующая встреча? - по мере формирования программы митапа.
Присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!
| 2 | Провели еще 23 мая вместе с INSECA уже 5тый митап! | 64 |
| 3 | #ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MLTBackdoor — это семейство ВПО, выявленное Zscaler ThreatLabz в мае 2026 года, связанное с деятельностью, связанной с вымогательством, и использующее многоэтапную цепочку заражения. Оно применяет передовые техники обфускации, такие как Смешанная булево-арифметическая (MBA) и Сглаживание потока управления (CFF), для усложнения реверс-инжиниринга, а также динамическое разрешение API и меры противодействия анализу для уклонения от обнаружения. Кроме того, MLTBackdoor имеет загрузчик Beacon Object File (BOF) для дополнительных функций, безопасную связь через собственный зашифрованный протокол и алгоритм генерации доменов (DGA) для закрепления.
-----
MLTBackdoor — это новое семейство ВПО, связанное с деятельностью, связанной с вымогательством, обнаруженное Zscaler ThreatLabz в мае 2026 года. Это ВПО использует сложную многоэтапную цепочку заражения, включающую приманку ClickFix, в основном нацеленную на пользователей через контент, связанный с автомобилями. После выполнения MLTBackdoor выполняет самообновление и работает как загруженный в обход компонент через легитимное приложение Microsoft, повышая свою скрытность во время заражения.
Вредоносное ПО использует ряд передовых техник обфускации, включая Смешанную Булево-Арифметическую (MBA) и Плоское Управление Потоком (CFF), что значительно усложняет обратную разработку. Примерно 95% кода MLTBackdoor составляют ненужные вычисления, сгенерированные через MBA, которые добавляют сложность без функциональной необходимости. CFF изменяет традиционный поток управления, преобразуя условные ветвления в формат конечного автомата, что затрудняет понимание логики кода. Кроме того, MLTBackdoor конструирует строковые значения во время выполнения в стеке, что приводит к фрагментированным данным, анализ которых затруднен, особенно в сочетании с вышеупомянутыми стратегиями обфускации.
Разрешение API выполняется динамически во время выполнения с использованием хеширования DJB2, что позволяет обходить типичные методы обнаружения за счёт избегания обычных вызовов API в пользовательском режиме и использования прямых системных вызовов. ВПО применяет технику, называемую «Hell’s Gate», позволяющую ему строить таблицу времени выполнения на основе нативных вызовов, дополнительно скрывая свою деятельность от стандартных средств защиты.
MLTBackdoor реализует различные меры противодействия анализу, включая проверки на наличие сред отладки или песочницы. Вместо прекращения работы он собирает результаты нескольких проверок для определения контекста выполнения, отправляя эту информацию во время первоначального взаимодействия с сервером управления (C2).
Возможности вредоносного ПО значительно расширены за счёт загрузчика Beacon Object File (BOF), который позволяет динамически загружать дополнительные функции во время эксплуатации после взлома. Этот загрузчик совместим с BOF, созданными сообществом, и имеет специфические модификации, которые перенаправляют вызовы через собственные обёртки для косвенных системных вызовов.
Сетевые коммуникации защищены с использованием собственного зашифрованного бинарного протокола поверх TLS, имеющего уникальную структуру, которая маскирует его трафик под легитимные коммуникации. MLTBackdoor использует обмен ключами Elliptic-Curve Diffie-Hellman (ECDH) для установления общего сеансового ключа AES-256-GCM для шифрования сообщений. Он также применяет детерминированный алгоритм генерации доменов (DGA) для создания ежедневных доменов, что усиливает его закрепление и затрудняет усилия по обнаружению. | 118 |
| 4 |  #ParsedReport #GeneratedSchema
Generated with GPT-4 | 67 |
| 5 | #ParsedReport #CompletenessHigh
09-06-2026
Technical Analysis of MLTBackdoor
https://www.zscaler.com/blogs/security-research/technical-analysis-mltbackdoor
Report completeness: High
Threats:
Mltbackdoor
Clickfix_technique
Antidebugging_technique
Sandbox_evasion_technique
Cobalt_strike_tool
Victims:
Automotive
Industry:
Transport
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual check
T1001.003, T1005, T1027, T1027.007, T1027.016, T1071.001, T1106, T1140, T1204, T1497, have more...
IOCs:
Url: 2
Command: 2
Path: 1
File: 23
Domain: 4
Hash: 7
Soft:
Microsoft Defender, process explorer
Algorithms:
sha256, aes-256-gcm, aes, ecdh, xor, rc4
Functions:
GetWindowText
Win API:
WinHttpConnect, enumwindows, NtQueryInformationProcess, BCryptGenRandom, NtAllocateVirtualMemory, NtProtectVirtualMemory, NtFreeVirtualMemory, NtWriteVirtualMemory, NtCreateThreadEx, NtQuerySystemInformation, have more...
Languages:
python
Links:
https://github.com/ThreatLabz/tools/tree/main/mltbackdoor | 57 |
| 6 | #ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-C-08, известный как Manlinghua, — это злоумышленник, базирующийся в Южной Азии, который нацелен на правительственные и военные сектора, применяя передовые тактики фишинга для компрометации жертв. Их недавние кампании включают обманные веб-сайты для сбора учетных данных и распространения ВПО, в основном используя скрипты VBS, которые настраивают системы управления и применяют Стеганографию для уклонения от обнаружения. Настойчивые тактики группы подчеркивают продолжающуюся киберугрозу в регионе, используя социальную инженерию и технические навыки для поддержания несанкционированного доступа к чувствительным системам.
-----
APT-C-08, также известный как Manlinghua, — это сложный злоумышленник с правительственными связями, базирующийся в Южной Азии, который активно нацеливается на соседние страны в последние годы. Эта группа проявляет сильный интерес к вторжениям, связанным с государственными органами, военными секторами, университетами и зарубежными организациями. Последний анализ выявил рост фишинговых кампаний, организованных Manlinghua, которые используют обманные тактики для сбора учетных данных и развертывания ВПО.
Недавняя фишинг-активность включает распространение веб-сайтов, созданных на базе технологии LiteSpeed Web. Эти сайты используют двухпутевой подход: один из них маскируется под знакомый почтовый сервис, а именно сайт 163.com, чтобы обманом заставить жертв невольно раскрыть свои учетные данные электронной почты. Другой путь служит порталом для загрузки, где жертва невольно скачивает вредоносные VBS-скрипты. Эти скрипты предназначены для настройки нескольких элементов, включая адреса управления (C2), запланированные задачи и пути к документам-приманкам, тем самым обеспечивая успешную компрометацию целевой системы.
При выполнении вредоносные скрипты демонстрируют поведение, соответствующее установленным тактикам, техникам и процедурам (TTPs), связанным с Manlinghua. Например, скрипты запрограммированы на резервное копирование вредоносных файлов в нескольких местах на зараженном устройстве, что дополнительно укрепляет закрепление угрозы. Примечательно, что основная функция одного из скриптов, идентифицированного как vps_transfer.ps1, использует Стеганографию, что позволяет вредоносной нагрузке избегать обнаружения.
Текущая кампания тесно связана с предыдущими методологиями, применяемыми группировкой Manlinghua, что демонстрирует способность группы адаптироваться и эффективно повторно использовать свои стратегии. Они сочетают социальную инженерию с передовыми техническими возможностями, создавая хорошо структурированную цепочку атаки. Это позволяет им преодолевать начальные средства защиты и поддерживать постоянное присутствие в системах жертв. Используя удаленное выполнение команд и стеганографические техники, встроенные в их ВПО, Manlinghua представляет значительные риски для целостности и конфиденциальности конфиденциальной информации на затронутых устройствах. Эволюционирующие тактики этой группы подчеркивают продолжающуюся и выраженную угрозу для кибербезопасности в регионе. | 52 |
| 7 |  #ParsedReport #GeneratedSchema
Generated with GPT-4 | 39 |
| 8 | #ParsedReport #CompletenessLow
10-06-2026
APT-C-08 (Manlinghua) Recent Phishing Attack Campaign Analysis
https://www.ctfiot.com/310428.html
Report completeness: Low
Actors/Campaigns:
Bitter
Threats:
Steganography_technique
Victims:
Government, Defense, Education, Foreign affairs, Enterprises
Industry:
Government, Education, Military
Geo:
Asia, Asian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual check
T1027.003, T1059.005, T1105, T1566.002
IOCs:
Hash: 1
File: 2
IP: 1
Soft:
LiteSpeed
Algorithms:
zip, md5 | 40 |
| 9 | #ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Растущее использование домашних прокси-серверов в корпоративных сетях создает значительные риски для безопасности, поскольку более 65% клиентов Infoblox Threat Defense Cloud взаимодействовали с такими доменами, что усложняет атрибуцию и может нанести ущерб репутации. Злоумышленники используют эти прокси-серверы для уклонения от обнаружения при совершении вредоносных действий, которые трудно отличить от легитимного трафика. Растущий спрос, особенно на веб-скрапинг, усугубляет проблему, при этом наблюдаются заметные всплески DNS-запросов, связанных с этими прокси-серверами, на фоне опасений по поводу несанкционированных сервисов, проникающих в различные сектора.
-----
Распространение домашних прокси-серверов в корпоративных сетях становится все более тревожным, о чем свидетельствуют данные Infoblox, согласно которым более 65% клиентов Threat Defense Cloud взаимодействовали с доменами, связанными с сетями домашних прокси-серверов. Широкое использование таких прокси-серверов вызывает серьезные опасения в отношении безопасности сети и усилий по реагированию на инциденты, поскольку злоупотребления, совершаемые через домашние прокси-серверы, могут вовлекать невиновные организации в качестве злоумышленников, усложняя процесс атрибуции и нанося потенциальный ущерб репутации.
Резидентские прокси, которые перенаправляют интернет-трафик через устройства обычных потребителей, позволяют злоумышленникам избегать систем репутации IP-адресов и обходить меры обнаружения мошенничества. Такие прокси создают «отмытый» трафик, который может снижать количество предупреждений безопасности, поскольку вредоносные действия смешиваются с легитимной деятельностью потребителей. Многие прокси могут устанавливаться без согласия, часто встроенные в приложения или устройства без ведома пользователя, что аналогично криптоджекингу, при котором компрометируется пропускная способность и пространство IP-адресов, а не вычислительные мощности.
Анализ DNS-трафика от Infoblox указывает на устойчивый рост запросов к доменам резидентных прокси, увеличившийся более чем на 25% с января 2025 года по апрель 2026 года. Этот всплеск частично объясняется растущим спросом, обусловленным веб-скрапингом для обучения моделей искусственного интеллекта, где резидентные прокси предпочтительны из-за их способности к Имперсонация реального пользовательского трафика. Примечательно, что инцидент с отключением сервиса IPIDEA в январе 2026 года сопровождался значительным ростом на 265% числа затронутых клиентских сетей, что свидетельствует об усилении активности и потенциальном хаосе в экосистеме прокси.
Анализ Infoblox подчеркивает растущее влияние крупных провайдеров домашних прокси-серверов, при этом такие сервисы, как Brightdata и Oxylabs, доминируют на рынке, а другие, такие как Hola и Honeygain, встраивают прокси-функциональность в бесплатные приложения. В различных отраслях растут опасения, поскольку более 90% организаций в фармацевтическом секторе и секторе продуктов питания и напитков, а также более 60% в банковском и государственном секторах взаимодействовали с этими несанкционированными сервисами. Такое широкое распространение требует стратегического подхода со стороны организаций, склонных к минимизации рисков; рекомендуется внедрять Защитный DNS для мониторинга и блокировки этих прокси-серверов в сетях, а также проводить тщательные оценки журналов DNS-запросов и установленных приложений.
В конечном итоге, в отчете подчеркивается насущная необходимость повышения видимости и принятия проактивных мер для снижения рисков, связанных с использованием резидентных прокси-серверов, поскольку их присутствие может быть не столь безобидным, как кажется, и часто находится в серой зоне с точки зрения этического использования и потенциально злонамеренных намерений. | 29 |
| 10 |  #ParsedReport #GeneratedSchema
Generated with GPT-4 | 29 |
| 11 |  #ParsedReport #ExtractedSchema
Classified images:
schema: 2, chart: 4 | 29 |
| 12 | #ParsedReport #CompletenessLow
09-06-2026
Residential Proxies in the Wild
https://www.infoblox.com/blog/threat-intelligence/residential-proxies-in-the-wild/
Report completeness: Low
Threats:
Residential_proxy_technique
Kimwolf
Ipidea
Victims:
Enterprise, Pharmaceutical, Food and beverage, Government, Banking, Education, Electronics, Industrial, Healthcare
Industry:
Financial, Healthcare, Iot, Media, Energy, Government, Foodtech, Education, Software_development
ChatGPT TTPs:
do not use without manual check
T1046, T1090, T1176, T1496
IOCs:
Domain: 1
Soft:
Android
Platforms:
intel | 25 |
| 13 | #ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи Cato CTRL выявили фишинговую кампанию, направленную против бразильских организаций, особенно в секторах химической промышленности и передовых материалов, которая заманивает жертв поддельными деловыми документами, ведущими к установке агента NinjaOne Remote Monitoring and Management (RMM). Злоумышленники используют знакомые деловые практики и разрабатывают фишинговые письма, которые направляют пользователей на обманные португалоязычные целевые страницы, похожие на доверенные порталы. Кампания демонстрирует использование легитимного программного обеспечения для несанкционированного удаленного доступа, опираясь на социальную инженерию и техники антианализа для повышения эффективности и снижения обнаружения.
-----
Фишинговая кампания направлена против бразильских организаций, особенно в таких секторах, как химическая промышленность и передовые материалы.
В рамках кампании используются приманки в виде поддельных бизнес-документов для установки легитимного агента NinjaOne Remote Monitoring and Management (RMM).
Фишинговые письма перенаправляют пользователей на португалоязычные целевые страницы, имитирующие доверенные порталы для безопасной доставки документов.
Ссылки в фишинговых письмах скрыты за маршрутом перенаправления на основе Googleusercontent, что усложняет усилия по отслеживанию.
Жертв перенаправляют на порталы, ссылающиеся на широко известные бразильские сервисы, связанные с налоговыми документами и жалобами клиентов.
Агент NinjaOne RMM замаскирован под загрузку документа, но вместо этого устанавливает установщик, предоставляющий злоумышленникам удаленный доступ.
Атакующие демонстрируют глубокое понимание бразильской бизнес-культуры, согласуя свою фишинговую стратегию с ожидаемыми профессиональными активностями.
Инфраструктура включает функции противодействия анализу, такие как сбор отпечатков браузера и геофенсинг, для целевой работы только с IP-адресами из Бразилии.
Различные фишинг-опыты, основанные на IP-локации, могут дополнительно защитить операцию от анализа.
Существуют потенциальные связи с ранее наблюдаемыми активностями, связанными с RAT Venon, что указывает на использование общих ресурсов в бразильском ландшафте киберкриминала.
Кампания подчеркивает риски, связанные с злоупотреблением легитимными инструментами, такими как NinjaOne, что перекликается с предупреждениями организаций в области кибербезопасности относительно неправомерного использования платформ удаленного управления.
Атака иллюстрирует тенденцию к использованию социальной инженерии и легитимного программного обеспечения, а не развертывания традиционного ВПО для несанкционированного удаленного доступа. | 31 |
| 14 |  #ParsedReport #GeneratedSchema
Generated with GPT-4 | 37 |
| 15 |  #ParsedReport #ExtractedSchema
Classified images:
schema: 3, windows: 4, code: 7, table: 2 | 39 |
| 16 | #ParsedReport #CompletenessMedium
10-06-2026
Cato CTRL™ Threat Research: From Fiscal Lures to Remote Access, A Previously Undocumented NinjaOne RMM Abuse Chain
https://www.catonetworks.com/blog/cato-ctrl-previously-undocumented-ninjaone-rmm-abuse-chain/
Report completeness: Medium
Threats:
Ninjaone_tool
Venomrat
Spear-phishing_technique
Victims:
Brazilian organizations, Chemicals and advanced materials
Industry:
Financial, Chemical, Logistic
Geo:
Brazil, Portuguese, Brazilian, Americas
TTPs:
Tactics: 5
Technics: 9
IOCs:
Domain: 6
Soft:
Selenium, PhantomJS
Languages:
javascript, rust | 38 |
| 17 | #ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
По мере приближения Чемпионата мира по футболу 2026 года киберпреступники используют тайпсквоттинг для создания мошеннических сайтов, имитирующих домены, связанные с ФИФА, с целью кражи персональных и финансовых данных у покупателей билетов, соискателей работы и зрителей потоковых трансляций. Заметными примерами являются домены, такие как ww-fifa.com, которые тесно напоминают официальные сайты. Рост таких мошеннических схем указывает на непрерывный цикл злонамеренной активности, при этом особое внимание уделяется поддельным порталам для найма и платформам потокового вещания для эксплуатации видимости этого мероприятия.
-----
С началом Чемпионата мира по футболу 2026 года активность киберпреступников возросла, при этом они нацелены на различные группы заинтересованных сторон, такие как покупатели билетов, соискатели работы и зрители потоковых трансляций. Федеральное бюро расследований (FBI) выпустило Общественное информационное сообщение, в котором подчеркивается рост мошеннических веб-сайтов, созданных для имитации доменов, связанных с ФИФА. Эти поддельные сайты предназначены для сбора личной информации и осуществления финансового мошенничества, связанного с продажей билетов, гостиничными пакетами и вакансиями.
Основной техникой атаки, используемой этими киберпреступниками, является тайпсквоттинг. Они регистрируют домены-двойники, которые визуально имитируют легитимные, часто посредством незначительных изменений в написании или использования альтернативных доменных зон. Эта обманная практика направлена на то, чтобы ввести пользователей в заблуждение, заставив их поверить, что они находятся на официальном сайте ФИФА. Например, одним из распространенных вариантов, выявленных исследователями, стал домен ww-fifa.com, в котором из легитимного URL-адреса удалена одна буква «w», при этом ресурс позиционируется как официальный портал с подлинным турнирным брендингом и вводящими в заблуждение предложениями.
Исследователи Cyble отметили, что многие из этих мошеннических доменов всё ещё работают и постоянно заменяются, даже когда предыдущие блокируются. Это указывает на непрерывный цикл злонамеренной активности и подчеркивает агрессивные тактики, используемые злоумышленниками, которые извлекают выгоду из огромной глобальной видимости Чемпионата мира. Кроме того, анализ безопасности доменов, связанных с ФИФА, показал различные классификации вредоносного поведения, при этом ожидается значительный рост по мере того, как больше пользователей будут взаимодействовать с этими мошенническими сайтами.
Помимо нацеливания на покупателей билетов, мошенники также создали поддельные порталы для поиска работы, такие как fifaworldcup-careers.com, ориентированные на соискателей. Эти схемы эксплуатируют людей, активно ищущих работу, побуждая их предоставлять конфиденциальную личную информацию под видом законных процессов найма. Учитывая повышенную уязвимость соискателей по сравнению с обычными покупателями билетов, этот сегмент стал ключевой целью для мошенничества.
По мере приближения турнира ожидается также распространение мошеннических платформ для потоковой передачи. Эти сайты будут использовать высокий спрос на доступ к матчам, особенно в регионах, где официальные трансляции менее доступны или обходятся дороже. Эксперты по кибербезопасности подчеркивают важность бдительности — избегать несанкционированных ссылок на потоковую передачу и проводить должную проверку перед совершением любой покупки или предоставлением личных данных в интернете.
Ландшафт динамичен, и в период Чемпионата мира по футболу могут появиться новые мошеннические домены. Пользователям рекомендуется проявлять осторожность, а организациям, связанным с этим мероприятием, следует внедрить проактивные меры для защиты своих брендов от фишинговых атак и попыток Имперсонация. Подчеркивается важность бдительности и проверки любых транзакций, связанных с FIFA, через официальные каналы, чтобы снизить риски, связанные с этими все более изощренными мошенническими схемами. | 46 |
| 18 |  #ParsedReport #GeneratedSchema
Generated with GPT-4 | 57 |
| 19 | #ParsedReport #CompletenessLow
10-06-2026
FIFA World Cup 2026 Scams Are Already Active: Fake Domains, Phishing Sites, and How to Stay Safe
https://cyble.com/blog/fifa-world-cup-2026-scams/
Report completeness: Low
Threats:
Typosquatting_technique
Victims:
Ticket buyers, Job seekers, Streaming viewers, Corporate brands, Travel, Hospitality, Ticketing, Media
Industry:
Foodtech, Financial, Entertainment, Government
Geo:
Mexico, United states, Canada
ChatGPT TTPs:
do not use without manual check
T1583.001, T1657
IOCs:
Domain: 36
Url: 1
IP: 3
Soft:
WhatsApp | 83 |
| 20 | #ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фишинговая кампания использовала домен-омофон amazonattention.com для распространения пользовательской Троянской программы (RAT) под названием HarborWatch Agent. Атака включала социальную инженерию для обмана пользователей с целью выполнения вредоносных команд PowerShell, которые загружали ВПО с сервера управления. HarborWatch Agent способен собирать конфиденциальную информацию о системе и отправлять её обратно на сервер управления, что демонстрирует сдвиг в сторону тактик, эксплуатирующих действия пользователей, а не традиционные вложения.
-----
В ходе недавней фишинговой кампании злоумышленники использовали доверие, связанное с Amazon, применяя тактики социальной инженерии и домен-двойник amazonattention.com для распространения пользовательской Троянской программы для удаленного доступа (RAT) под названием HarborWatch Agent. Атака использовала сфабрикованное предупреждение безопасности, которое побуждало пользователей участвовать в том, что выглядело как стандартный процесс проверки учетной записи, что в конечном итоге привело к их самоинфицированию.
При нажатии кнопки «Verify Account Information» пользователи перенаправлялись на страницу, имитирующую проверку CAPTCHA. Однако вместо стандартного CAPTCHA-задания сайт инструктировал жертв выполнить вредоносные команды на их локальных системах. Вредоносные команды были хитро замаскированы под безобидный текст, вводя пользователей в заблуждение и заставляя их вставлять команду PowerShell из буфера обмена в диалоговое окно «Выполнить» (Run) в Windows. Эта команда, скрытая под фразой «I am not a robot», активировала PowerShell в скрытом режиме и запускала вредоносный скрипт.
Данный скрипт впоследствии загрузил файл с именем mysql.exe с сервера управления (C2), расположенного по адресу hxps://zoomupdate.b-cdn.net/mysql.exe, в папку App Data Local Temp для удобства сокрытия. Процесс mysql.exe был идентифицирован как HarborWatch Agent после анализа, который выявил его сетевые коммуникации с IP-адресом (185.193.127.44), выступающим в роли сервера управления. Этот сервер использовался для выдачи команд и эксфильтрации системной информации. Вредоносное ПО использовало конечные точки API, такие как /api/agent/tasks/ и /api/heartbeat, для получения команд и сбора данных об зараженной системе.
Анализ памяти показал, что агент HarborWatch собирал конфиденциальные данные, такие как версия операционной системы, имя хоста, количество процессоров и использование памяти, передавая эту информацию обратно на сервер C2. Дальнейшее исследование инфраструктуры C2 выявило панель входа администратора, доступную через веб-браузер, которая была оформлена с элементами китайского языка, напоминающими «Harbor Sentinel». Этот веб-интерфейс был предназначен для злоумышленников, чтобы они могли отслеживать зараженные системы, что отражает двойную функциональность ВПО.
Агент HarborWatch демонстрирует сдвиг в тактиках фишинга, переходя от традиционных методов доставки с использованием вложений к стратегиям, которые заставляют пользователей самостоятельно выполнять вредоносные команды. Этот метод усложняет усилия по обнаружению, поскольку характер заражения, вызванного самим пользователем, может скрыть его присутствие от решений безопасности. В связи с этим организациям рекомендуется усилить свою защиту от этих эволюционирующих техник фишинга. | 126 |
